Mit jelent az eltereléses csalás (BEC, Business Email Compromise)?

Az eltereléses csalások akár egy kémthrillerből is származhatnának, de a mögöttük álló módszerek sajnos nagyon is valóságosak – és ijesztően hatékonyak. A következőképpen hajtják végre ezeket a kibertámadásokat:

A támadók által alkalmazott módszerek

Az eltereléses csalások elkövetői nem csupán a szerencsében bíznak – kiválóan manipulálják mind a technológiát, mind az embereket. Előfordulhat, hogy:
 

• E-mail címeket hamisítanak, hogy úgy tűnjön, üzeneteik megbízható forrásból származnak.
• Célzott adathalászmódszereket alkalmaznak, amelyekkel kifejezetten egyes munkatársakat céloznak meg, és zavarba ejtően személyes hangvételű üzeneteket küldenek nekik.
• Olyan kártevő szoftvereket is bevethetnek, amelyek révén hozzáférést szerezhetnek bizalmas beszélgetésekhez és információkhoz, amelyeket később fegyverként használhatnak fel. 

Ezek nem a megszokott adathalász-támadások. Ezeket az üzeneteket rendkívül precízen szerkesztik meg, hogy ne keltsenek gyanút.

Miért nehéz felismerni az eltereléses csalásokat?

Az eltereléses csalások egyik legveszélyesebb jellemzője, hogy rendkívül alattomosak. A támadók arra alapoznak, hogy az emberek alapvetően bizalommal fordulnak egymáshoz, és hogy sok vállalat kiszámítható folyamatokra támaszkodik. Ezeket a szokásokat kihasználva hétköznapinak tűnő kéréseket utánoznak – például fizetési jóváhagyások vagy számlamódosítások – annyira meggyőzően, hogy még a tapasztalt munkatársak is könnyen bedőlhetnek nekik.

Jellemző tartalmak az eltereléses csalásokkal érkező e-mailekben

Az eltereléses csalásokkal érkező e-mailek gyakran árulkodó jeleket tartalmaznak – ha tudja, mire figyeljen. A leggyakoribb elemek a következők:
 

• Sürgős átutalási vagy ajándékkártya-vásárlási kérések.
• Olyan üzenetek, mint például: „Ezt el tudná intézni bizalmasan? Éppen értekezleten vagyok.”
• Enyhén hibás nyelvhasználat vagy olyan e-mail-címek, amelyek csupán egy karakterrel térnek el a valóditól. 

Ezeket az üzeneteket úgy alakítják ki, hogy cselekvésre késztessék Önt, mielőtt lenne ideje megkérdőjelezni azok valódiságát. Az első lépés az ilyen támadások megakadályozásában az, ha felismeri ezeket a figyelmeztető jeleket.

Az eltereléses csalásokat alkalmazó bűnözők nem válogatnak – bárkit megcéloznak, aki pénzhez vagy érzékeny információkhoz férhet hozzá. Ugyanakkor bizonyos szervezetek és munkakörök gyakrabban kerülnek a célkeresztjükbe.

A leggyakoribb célpontok közé tartoznak:
 

• Bármilyen méretű vállalkozások – a nagyvállalatoktól a kisvállalkozásokig.
• Állami szervek, amelyek költségvetéseket vagy szerződéseket kezelnek.
• Nonprofit szervezetek, különösen azok, amelyek jelentős adományokat vagy támogatásokat kezelnek.
• Iskolák és egyetemek, ahol az adminisztratív munkatársak tandíjakat és beszállítói számlákat dolgoznak fel. 

Lényegében, ha az Ön szervezete pénzmozgásokat kezel vagy érzékeny műveleteket irányít, akkor szerepelhet a támadók listáján.

A csalók által megcélzott konkrét szerepkörök

Az eltereléses csalások során nem minden munkavállaló van egyformán kitéve a veszélynek. A támadók kifejezetten azokra a szerepkörökre összpontosítanak, amelyek pénzügyi jogosultsággal vagy magas szintű hozzáféréssel rendelkeznek. A leggyakoribb célpontok a következők:
 

• Pénzügyi alkalmazottak, például számvevők vagy kifizetésekért felelős kollégák, akik hozzáférnek bankszámlaadatokhoz, fizetési módokhoz és számlaszámokhoz.
• Felsővezetők, különösen vezérigazgatók (CEO) és pénzügyi igazgatók (CFO), mivel az ő nevükben érkező kérések nagy súllyal bírnak, és róluk gyakran elérhetők nyilvános információk.
• HR-szakemberek, akik személyes adatokat kezelnek – például társadalombiztosítási számokat, bérpapírokat, elérhetőségeket vagy beosztásokat.
• IT-rendszergazdák, akiknek van hozzáférése a szervezet rendszereihez, amely segítheti a támadókat a mélyebb behatolásban.
• Új vagy pályakezdő munkatársak, akik kevésbé jártasak az ilyen típusú csalások felismerésében, és nehezebben tudják ellenőrizni az e-mailek hitelességét. 

A csalók tisztában vannak vele, hogy ezek a munkakörök kapuőrként működnek, ezért ha sikerül őket megszemélyesíteni vagy megtéveszteni, könnyen hozzáférhetnek a szervezet eszközeihez.

Az eltereléses csalások nemcsak nyomot hagynak maguk után, hanem egy óriási űrt is. A pénzügyi, működési és hírnévbeli következmények megdöbbentőek lehetnek. Lássuk a részleteket:

Az eltereléses támadások pénzügyi következményei

A számok magukért beszélnek: az eltereléses csalások rengeteg pénzbe kerülnek. Az FBI jelentése szerint az eltereléses csalások 2013 óta több mint 50 milliárd USD összegnyi kárt okoztak. De nem csak a közvetlenül ellopott pénzről van szó. Ide tartoznak még:
 

• Az adatbiztonsági incidensek utáni helyreállítás, mivel a támadók gyakran érzékeny adatokhoz is hozzáférnek a csalás során.
• Jogi és szabályozási bírságok, különösen akkor, ha ügyfél- vagy dolgozói adatok kerülnek veszélybe.
• Működési zavarok, miközben a csapat igyekszik kezelni a válságot. 

Ahogy az elterelési támadások fejlődnek, úgy fejlődnek az ellenük irányuló védelmi stratégiák is. További információ a Microsoft e-mailes fenyegetések elleni védelmi megoldásairól.

Példák az eltereléses csalásra

Az eltereléses csalás nem csupán elméleti veszély – nap mint nap valós szervezetek esnek áldozatul. Itt van néhány példa arra, hogyan nézhet ki egy ilyen támadás a gyakorlatban:

1. példa: Sürgős számla kifizetése

Tegyük fel, hogy cége pénzügyi részlegén dolgozik. Kap egy e-mailt a pénzügyi igazgatótól egy lejárt számlával kapcsolatos sürgős kéréssel – az e-mail azonban nem a pénzügyi igazgatótól érkezett. Vagy a csaló úgy tesz, mintha az Ön cégének internetszolgáltatója lenne, és egy meggyőzőnek tűnő számlát küld e-mailben.

2. példa: Mi a telefonszáma?

Egy cégvezető e-mailt küld Önnek a következő szöveggel: „A segítségére van szükségem egy sürgős feladattal kapcsolatban. Küldje el a telefonszámát, és SMS-ben megírom Önnek.” A szöveges üzenetek biztonságosabbak és személyesebbek, mint az e-mailek, ezért a csaló azt reméli, hogy SMS-ben elküldi neki a fizetési adatokat vagy más bizalmas információkat. Ezt nevezzük „SMS-adathalászatnak” vagy SMS-üzeneten keresztüli adathalászatnak.

3. példa: Szigorúan titkos felvásárlás

A főnök előlegfizetést kér, hogy felvásárolja az egyik versenytársát. „Ez maradjon köztünk” – áll az e-mailben, és meggyőzi, hogy ne igazolja vissza a kérést. Mivel az egyesülés és a felvásárlás részleteit gyakran titokban tartják, amíg minden végleges nem lesz, ez a csalás elsőre nem tűnik gyanúsnak.

Eltereléses csalás vs. hagyományos adathalászat

Bár az eltereléses csalások és az adathalász támadások egyaránt e-mailen keresztül történnek, a módszereik és a hatásuk jelentősen eltérnek:

• Eltereléses csalás – Célzott, személyre szabott támadások. A csalók alapos előkészületeket tesznek, és konkrét személyeket, valamint céges folyamatokat utánoznak a bizalom megszerzése érdekében. Ezek a támadások nagy értékű célpontokra irányulnak, például átutalásokra vagy érzékeny adatokra.
• Hagyományos adathalászat – Széles körű, „szórt” támadások. Ilyenek például a hamis bejelentkezési oldalak, „nyert egy díjat” típusú e-mailek vagy általános ijesztgetésen alapuló üzenetek. Könnyebb felismerni őket, és gyakran jelszavak vagy kisebb pénzösszegek megszerzésére irányulnak.

Az eltereléses csalások tétje sokkal magasabb, ezért elengedhetetlen, hogy a szervezetek kiemelten kezeljék a védekezést ezekkel a kifinomultabb támadásokkal szemben.

Egy eltereléses csalás megfékezéséhez proaktív intézkedésekre, technológiai védelemre és egy jól kidolgozott válságkezelési tervre van szükség. Így tarthatja biztonságban a szervezetét:

Szervezeti intézkedések és munkavállalói képzés

Az első védelmi vonalat a munkatársak jelentik, és a tudatosság a potenciális gyenge láncszemeket is kiberbiztonsági szövetségesekké alakítja. Fontos, hogy mindenki fel tudja ismerni:
 

• Az adathalász hivatkozásokat;
• A tartománynév és e-mail cím közötti eltéréseket;
• A gyanúsan sürgető kéréseket.

Akár szimulálhat is egy eltereléses csalást, hogy munkatársai felismerjék a valódi támadást, ha az bekövetkezik.

Biztonságos levelezési átjárók és technikai megoldások

A technológia megerősítheti a védelmet. Az alábbi eszközök kifejezetten a rosszindulatú e-mailek észlelésére és tiltására szolgálnak:

• Biztonságos levelezési átjárók (SEG-ek) – Ezek szűrőként működnek, és elemzik a beérkező üzeneteket csalásra vagy hamisításra utaló jelek után kutatva.
• Többlépcsős hitelesítés (MFA) – Még ha a támadók hozzá is férnek a belépési adatokhoz, az MFA egy további biztonsági réteget biztosít.
• Tartományalapú üzenethitelesítés, jelentés és megfelelőség (DMARC) – Ez a protokoll segít megakadályozni, hogy támadók meghamisítsák a levelezőtartományát. 

Ezeknek az eszközöknek az alkalmazása jelentősen csökkentheti egy sikeres eltereléses csalás kockázatát.

Reagálás egy feltételezett eltereléses csalásra

Ha felmerül a gyanú, hogy eltereléses csalásról van szó, a gyors reakció kulcsfontosságú. A következőket érdemes tenni:
 

1. Tranzakció befagyasztása – Ha már elindult egy átutalás, azonnal lépjen kapcsolatba a bankkal, hogy leállítsák vagy visszafordítsák a kifizetést.
2. Az informatikai csapat értesítése – Ők meg tudják vizsgálni az e-mail forrását, és letilthatják a további kommunikációt a támadótól.
3. Folyamatok felülvizsgálása és frissítése – Keresse meg a biztonsági protokollokban lévő hiányosságokat, és erősítse meg azokat a jövőbeni esetek megelőzése érdekében. 

Egy előre kidolgozott választerv segítségével minden másodpercben tudja majd, hogy mit kell tennie.

AI- és e-mail-biztonság

A AI térhódítása a kiberbiztonság és a gépi tanulás terén alapjaiban változtatja meg az e-mail-biztonságot. Ezek a technológiák képesek:

• Elemezni az e-mailek viselkedési mintáit, hogy felismerjék az anomáliákat, például egy hirtelen érkező átutalási kérelmet.
• Azonosítani a hamisítás finom jeleit, például az e-mail-címek enyhe eltéréseit.
• Folyamatosan alkalmazkodni az új fenyegetésekhez, így a csalók számára egyre nehezebb kijátszani a felismerő rendszereket. 

Ha mesterséges intelligenciával támogatott, egységes SecOps-megoldásokat épít be a védelmi rendszerébe, jelentős előnyre tehet szert a folyamatosan fejlődő támadókkal szemben.

Az eltereléses csalások megelőzése érdekében elengedhetetlen, hogy mindig egy lépéssel a támadók előtt járjunk. A kiberbűnözők folyamatosan fejlesztik módszereiket, ezért a védekezési stratégiáknak is éppoly alkalmazkodónak kell lenniük, mint maguknak a fenyegetéseknek. Így lehet védelmi rendszere naprakész és erős:

Folyamatos megfigyelés és frissítések

Az eltereléses csalások nem olyan fenyegetések, amelyekkel egyszer foglalkozunk, aztán elfelejthetjük őket. A csalók folyamatosan finomítják módszereiket, hogy megkerüljék a meglévő védelmi eszközöket, ezért Önnek is résen kell lennie:

• Rendszeres biztonsági ellenőrzésekkel derítse fel a védelem gyenge pontjait.
• Gyakori szoftverfrissítésekkel zárja be a sebezhetőségeket, és gondoskodjon arról, hogy védve legyen az újabb támadási formákkal szemben.
• Folyamatos fenyegetésfigyeléssel ismerje fel a valós idejű gyanús aktivitást – például szokatlan e-mail-mintákat vagy jogosulatlan hozzáférési kísérleteket. 

Csak akkor tarthatja a lépést ezekkel a folyamatosan változó fenyegetésekkel, ha a biztonsági rendszerét is ennek megfelelően fejleszti.

Legyen naprakész a legújabb fenyegetésekkel kapcsolatban

Az intelligens kiberveszély-felderítés újdonságainak nyomon követése segíthet abban, hogy még időben felismerje a lehetséges veszélyeket, mielőtt azok komoly problémává válnának. Maradjon egy lépéssel előrébb azáltal, hogy:

• Feliratkozik kiberbiztonsági blogokra és hírlevelekre, hogy rendszeresen értesüljön az eltereléses csalások legújabb módszereiről;
• Részt vesz az iparág-specifikus biztonsági fórumokon, ahol információkat oszthat meg, és tanulhat más szervezetek tapasztalataiból;
• Együttműködik kiberbiztonsági szakértőkkel, hogy megértse a veszélyforrás-keresési módszereket, és hogy azok hogyan érinthetik vállalkozását. 

Minél többet tud arról, hogyan alkalmazkodnak a csalók a fenyegetésészleléshez és -kezeléshez, annál felkészültebben állhat útjukba.

Azok számára, akik a Microsoft Office 365 szolgáltatást használják, az Office 365-höz készült Microsoft Defender megbízható megoldást kínál az eltereléses csalások felismerésére és hatásuk mérséklésére. A megoldás a következőket nyújtja:
 

• Fejlett adathalászat elleni védelmet, amely letiltja a gyanús e-maileket, és figyelmezteti a felhasználókat a lehetséges fenyegetésekre.
• Valós idejű megfigyelést és jelentéskészítést végponti észlelés és reagálás (EDR) segítségével, így a kompromittálódás jelei azonnal észlelhetők.
• Automatizált incidenselhárítási műveleteket, például a rosszindulatú e-mailek karanténba helyezését és az ismert támadók letiltását.

Az Office 365-höz készült Microsoft Defender biztonsági rendszerébe való integrálásával egy erős szövetségest nyerhet az eltereléses csalások elleni harcban – egy olyan megoldást, amely folyamatosan frissül, hogy lépést tartson a fejlődő fenyegetésekkel.

Emellett a Microsoft Defender XDR automatikus támadásmegszakító funkciója képes megállítani a már folyamatban lévő támadásokat, például az eltereléses csalásokat, valamint megakadályozni a további oldalirányú mozgást.